《企业网D1Net》3月24日讯

随着信息安全受到的关注越来越广泛，政府采购信息安全的也吸引业界广泛聚焦，政府采购信息安全可以分为两大类。一是涉及国家安全的采购信息保全，而不单指国家安全系统的技术、设备及服务等采购；二是信息技术的安全采购。美国采购信息安全政策和措施非常完善，信息安全规范贯穿《联邦采购条例》始末。

完备的法规支撑体系。第一层次是计划目标，包括《国家产业安全计划》(NISP)与《国家产业安全计划实施指南》；第二层次是立法规范，包括《美国法典》第10部分和第41部分、美国《公法》第40部分、《联邦法规法典》（CFR）第36部分、《1996年卡琳尔-科恩法案》、《隐私权法》以及《联邦信息安全管理法案》；第三层级是具体规范，包括《产业安全条例》、《合同安全保密等级规范》、HSPD-12、预算管理办公室第A-130通知、预算管理办公室(OMB)指南M-05-24及国家安全部(DHS)与美国公民和移民服务机构的合格雇佣查证计划(E-Verify)等。对于没有纳入国家产业安全计划(NISP)的采购机构应按照相关规定来制定本机构的安全规范。

详实具体的执行标准。政府采购信息安全执行第201期《联邦信息处理标准》(FIPS PUB)、联邦总务局第70《联邦供给目录》、第132-62期《特别项目》(SIN)、国家标准以及技术协会的商业部门指南和标准，便于机构购买已认证的安全货物和服务。

国家安全至上原则。政府采购社会政策要让位于信息安全政策，同时允许合同公告例外、公开竞争及密封投标的例外。

明确的采购机构和官员职责。不仅明确规范了采购机构负责人和合同官保护祖国信息安全的职责，而且设立机构首席安全信息管理官和信息技术采购计划员职位，并明确他们具体责任。

忠诚等级审查认证制。对供应商、其从业人员以及临时雇员进行国家忠诚程度的审查，并依据其安全等级的不同分别允许他们使用不同保密等级的公共设施或信息资料。

强化信息安全风险管理。在承认风险客观存在的同时，要求最大限度地控制和减少风险，加强信息安全的风险管理。

D1Net评论：

采购信息安全管理是一个不断完善的过程，我国采购信息安全管理存在一些不足之处，需要借鉴先进的管理规范，这就要求我国在实现政府采购信息安全政策中，不仅要借鉴美国政府采购信息安全的规范性程序设计，而且要借鉴其对人的安全性管理和规范。